製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bluditにおけるクロスサイトスクリプティングの脆弱性

Title	Bluditにおけるクロスサイトスクリプティングの脆弱性
Summary	Bluditはページ作成機能においてストアドクロスサイトスクリプティング（XSS）の脆弱性があります。認証済みでページ作成権限（著者、編集者、管理者など）を持つ攻撃者は、新規作成された記事のtagsフィールドに悪意のあるJavaScriptペイロードを埋め込むことができます。このペイロードは、被害者がアップロードされたリソースのURLにアクセスした際に実行されます。アップロードされたリソース自体は認証なしでアクセス可能です。特に、この脆弱性は被害者が十分な権限を持つ場合に、新たなサイト管理者を自動的に作成するために利用される可能性があります。ベンダーはこの脆弱性について早期に通知を受けましたが、脆弱性の詳細や影響を受けるバージョン範囲についての回答はありませんでした。バージョン3.17.2及び3.18.0のみがテストされて脆弱であることが確認されており、その他のバージョンは未テストであるため、脆弱である可能性があります。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 7, 2026, midnight
Registration Date	April 21, 2026, 10:44 a.m.
Last Update	April 21, 2026, 10:44 a.m.

CVSS3.0 : 警告
Score	5.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Affected System

Bludit

Bludit 3.17.2

Bludit 3.18.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-4420	https://www.cve.org/CVERecord?id=CVE-2026-4420
National Vulnerability Database (NVD)
2	CVE-2026-4420	https://nvd.nist.gov/vuln/detail/CVE-2026-4420

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
CERT Polska
1	Vulnerability in Bludit software \| CERT Polska	https://cert.pl/en/posts/2026/04/CVE-2026-4420

その他

No	Name	URL
関連文書
1	GitHub - bludit/bludit: Simple, Fast, Secure, Flat-File CMS GitHub	https://github.com/bludit/bludit/

Change Log

No	Changed Details	Date of change
1	[2026年04月21日] 掲載	April 21, 2026, 10:44 a.m.

NVD Vulnerability Information

CVE-2026-4420

Summary	Bludit is vulnerable to Stored Cross-Site Scripting (XSS) in its page creating functionality. An authenticated attacker with page creation privileges (such as Author, Editor, or Administrator) can embed a malicious JavaScript payload in the tags field of a newly created article. This payload will be executed when a victim visits the URL of the uploaded resource. The uploaded resource itself is accessible without authentication. Critically, this vulnerability could be used to automatically create a new site administrator if the victim has enough privileges. The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 3.17.2 and 3.18.0 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.
Publication Date	April 7, 2026, 8:16 p.m.
Registration Date	April 15, 2026, 11:28 a.m.
Last Update	April 21, 2026, 1:51 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:bludit:bludit:3.17.2:::::::*
cpe:2.3:a:bludit:bludit:3.18.0:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	https://cert.pl/en/posts/2026/04/CVE-2026-4420	cvd@cert.pl
2	https://github.com/bludit/bludit/	cvd@cert.pl

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html